- Какие данные относятся к персональным
- Для чего назначается ответственный за персональные данные
- Зачем охраняются персональные данные
- Приказ № _____о назначении ответственногоза организацию обработки персональных данных
- Формат документа
- Образец
- Ответственность за отсутствие документации
- Образец
- Кто должен расписаться в приказе
Какие данные относятся к персональным
Сведениями, имеющими персональное значение, является любая информация о работнике организации, включенная в его личные документы. В частности это: дата и место рождения, адрес проживания, образование и опыт работы, состояние здоровья. К личным данным также причисляются вероисповедание, национальность, внешние особенности, финансовое и семейное положение, отношения с законом (наличие или отсутствие судимостей), а также некоторые факты из биографии.
Прежде чем разбирать образец приказа об утверждении политики обработки персональных данных, стоит разобраться, какая информация относится к ним. По закону, это такие сведения:
- Ф.И.О.;
- возраст (год рождения);
- семейное положение;
- образование;
- профессия;
- адрес проживания;
- расовая и национальная принадлежность;
- вероисповедание;
- биометрические данные;
- политические взгляды;
- состояние здоровья.
Этот список далеко не полный, в него могут быть включены многие другие типы информации о человеке. Однако все их нельзя разглашать и обрабатывать без разрешения того, к кому они относятся. Об этом говорит закон № 152-ФЗ от 27.07.2006.
Исключение составляют, например, случаи, когда раскрытие этой информации необходимо для предотвращения угрозы безопасности самого человека или государства. Чтобы не нарушить эти правила, на предприятиях должна быть разработана локальная нормативная база. И все эти нюансы содержит образец приказа о допуске к персональным данным работников.
Для чего назначается ответственный за персональные данные
г. _______________ «___»___________ ____ г.
На основании п. 1 ч. 1 ст. 18.1, ч. 1 ст. 22.1 Федерального закона от 27.07.2006 года № 152-ФЗ «О персональных данных», руководствуясь Требованиями к защите персональных данных при их обработке в информационных системах персональных данных, утвержденными Постановлением Правительства Российской Федерации от 01.11.
1. Назначить ________________________________ (Ф.И.О., должность сотрудника) ответственным за организацию обработки персональных данных.
3 . ________________________________________(Ф.И.О., должность сотрудника) обеспечить принятие организационных и технических мер, применяемых для защиты персональных данных от неправомерного или случайного доступа к ним, уничтожения, изменения, блокирования, копирования, распространения персональных данных, в срок до _______________.
3. В связи с новым назначением __________________ (Ф.И.О., должность сотрудника) внести соответствующие изменения в должностную инструкцию __________(должность сотрудника).
4. Установить ежемесячную доплату ______________ (Ф.И.О.) в размере ____________ (_____________) рублей к должностному окладу в связи с исполнением дополнительной обязанности по организации обработки персональных данных. Внести соответствующие изменения в Трудовой договор № ___ от «___»______________ ____ г.
5. Контроль за исполнением настоящего приказа возложить на ____________ (Ф.И.О., должность), довести настоящий приказ до сведения ___________________________________ под личную подпись.
_______________________ _______________/________________________(должность руководителя (подпись) (Ф.И.О.) юридического лица) М.П.
«___»___________ ____ г.
_______________/________________________(подпись) (Ф.И.О.)
Законодательство о персональных данных определяет, что организация должна обеспечивать соответствующую защиту этих сведений и не допускать разглашения их. За обеспечение данных требований несет ответственность непосредственно руководитель компании.
Также с этой целью на предприятии создается нормативный документ — Положение о защите персональных данных, в котором закрепляются основные понятия, процедуры и мероприятия по защите личных сведений.
Так как у директора фирмы достаточно много обязанностей, необходимо еще закрепить ответственное лицо или нескольких лиц, в обязанности которых будет входить работа с этой информацией, а также осуществление процедуры защиты персональных данных.
Именно это лицо может без получения предварительного разрешения работать с персональными данными. Чтобы закрепить за выбранным сотрудником данные функции, руководство компании должно издать приказ.
Как правило, таким человеком является представитель кадровой службы. В своей работе он должен руководствоваться действующим на предприятии локальным нормативным актом. При этом даже ему для работы с подобной информацией необходимо от поступающего сотрудника получить согласие на обработку персональных данных.
Внимание!Кроме этого, в связи с важностью данных сведений, за допущение несанкционированного их использования, может устанавливаться не только дисциплинарная ответственность, но и материальная, административная и уголовная. Поэтому очень важно в письменном виде установить кто и за что отвечает.
Закон определяет, что субъект бизнеса должен самостоятельно назначить лицо, которое будет отвечать за работу с персональными данными сотрудников. Это значит, что таким работником может быть любой человек, который трудится в компании.
Закон не устанавливает для него каких-либо требований — к должности, образованию, навыкам и т. д.
Однако, это лицо должно будет исполнять функции и обязанности, которые возлагаются на ответственного по защите персональных данных:
- Выполнять контроль внутри компании за соблюдением требований закона о персональных данных, в том числе требований по их защите;
- разъяснять работникам компании положения нормативных актов, связанных с обработкой и защитой персональных данных;
- Осуществлять прием и обработку запросов на персональные данные.
Кроме этого, исполнение этих обязанностей требует навыков по подготовке распорядительной документации, а также разбираться в законодательных актах. Самым оптимальным вариантом для этой должности будет сотрудник юридического отдела. Если такого нет, то такие обязанности можно возложить на кадровика или секретаря.
Допускается назначить ответственными целый отдел. Но в этой ситуации личную ответственность за работу с персональными данными будет нести руководитель этого отдела.
Внимание! В случае, если сотрудник, назначенный выполнять данные обязанности, увольняется, то необходимо выбрать и назначить нового ответственного. При этом первым пунктом нового приказа должно быть объявление недействительным предыдущего распоряжения.
Для такого рода приказа не устанавливается какая-либо специальная форма. Компания может составлять его на фирменном бланке, либо в произвольном формате, но с использованием перечня обязательных реквизитов.
При составлении такого приказа «с нуля», в верхней части бланка необходимо проставить наименование субъекта бизнеса, его регистрационные коды, адрес расположения и банковские реквизиты.
После этого посередине строки ставится наименование документа «Приказ». Рядом можно указать номер распоряжения. Под ним этот документ нужно будет зафиксировать в книге учета распоряжений по предприятию.
На следующей строке обычно указывается краткое название распоряжения. Например, «о назначении ответственного по работе с персональными данными».
Также нужно указать в приказе дату его оформления и место (город, населенный пункт).
Вводная часть приказа должна сообщать об основании для назначения ответственного лица — ст. 22.1 закона 152-ФЗ.
После этого идет слово «Приказываю», а затем попунктно перечисляются распоряжения:
- Назначить ответственное лицо за работу с персональными данными, с указанием его должности и Ф.И.О.;
- Определить, какой работник должен будет выполнять эти обязанности, если основной ответственный не будет находиться на своем месте (будет в отпуске, на больничном, в командировке и т. д.);
- Дать указание упомянутым работникам обеспечивать режим обработки данных на предприятии;
- Определить, кто будет отвечать за исполнение указанного приказа.
Иногда в число распоряжений также включается пункт о внесении изменений в должностную инструкцию лица, назначенного приказом.
Распоряжение подписывается руководителем компании.
После этого в столбик перечисляются все работники, которые были упомянуты в документе. Напротив своих фамилий они должны будут проставить дату и подпись как подтверждение ознакомления с ним.
Как правило, таким сотрудником является работник службы персонала (отдела кадров), поскольку именно он в ходе своей работы чаще всего сталкивается с персональными данными сотрудников.
[ads-pc-2] [ads-mob-2] Данный приказ не имеет установленной формы и составляется в произвольном виде согласно действующим правилам оформления документов в организации. Приказ можно составить на , где указаны все необходимые ее реквизиты.
- Вверху следует указывать реквизиты организации, если приказ оформляется на официальном бланке, то он должен их содержать.
- Ниже пишется наименование документа «Приказ».
- Приказ должен содержать очередной порядковый номер, согласно нумерации очередного документа в книге регистрации приказов, дату его составления и место.
- Также пишется краткое содержание документа, т.е. о чем будет идти в нем речь, например: «О назначении ответственных за обработку персональных данных».
- Ниже, в теле документа, отражается нормы закона, регламентируемые порядок работы с персональными данными сотрудников. После слов «Приказываю» указывается распорядительная часть:
- Должны быть указаны ответственны лица за сбор и хранение данных.
- Отдельные лица могут выполнять обработку данных, которые также указываются в документе.
- Указывается пункт о доведение данного распоряжения до определенных лиц.
- Указывается ответственный за осуществления контроля за данным распоряжением. Контроль может быть возложен на самого директора.
- Далее все ответственные и указанные в документе лица должны расписать (ознакомиться).
- В конце свою роспись и расшифровку ставит директор организации.
Зачем охраняются персональные данные
Защита персональных сведений – одно из важнейших условий обеспечения безопасности гражданина. Она необходима на каждом уровне его взаимодействия с социумом: при устройстве в детский сад, школу, ВУЗ, пользовании медицинскими и социальными услугами, трудоустройстве. Любое учреждение или организация, которая имеет дело с личной документацией человека, должна гарантировать ему сохранение персональной информации и невозможность ее распространения. Таким образом, достигается предотвращение неправомерного использования этих данных, а также их применение в корыстных и иных злонамеренных целях.
Приказ № _____о назначении ответственногоза организацию обработки персональных данных
Обработка персональных данных немыслима без их защиты. Люди, устраивающиеся на работу по трудовому договору или являющиеся исполнителями по гражданско-правовым договорам, сообщают работодателю (заказчику) конфиденциальную информацию.
Например, лица, вступающие в трудовые отношения, в обязательном порядке предъявляют ряд документов. Например, в общем случае, не получится трудоустроиться официально без предъявления паспорта, трудовой книжки, свидетельства пенсионного страхования и других необходимых документов (ст. 65 ТК РФ).
Работодатель, получив доступ к персональной информации сотрудников, должен обеспечить ее защиту. Во-первых, нужно разработать и утвердить специальное Положение о персональных данных, в котором будет предусмотрен порядок обработки персданных, оказавшихся в распоряжении компании.
Подробнее об этом см. «Образец Положения о работе с персональными данными работников 2019».
Следующим шагом является подготовка приказа о назначении ответственных по работе с персональными данными.
Меры по защите персональных данных регламентируются законодательством РФ. В частности, на каждом предприятии, которое нанимает работников, а, значит, имеет дело с их личными сведениями, должен быть сотрудник, который несет за них ответственность.
В случае разглашения персональной информации именно с него и будет спрос. Если такового работника нет, то ответственность автоматически перекладывается на директора компании. Кроме того, в организации должны быть разработаны регулирующие нормативно-правовые акты, в том числе соответствующие положение и приказ.
Роль приказа о защите персональных данных достаточно проста, но вместе с тем значима: при помощи него руководитель дает указание кому-либо из подчиненных о принятии мер по охране личной информации сотрудников. Без этого документа при возникновении утечки пострадавшие работники смогут с легкостью доказать виновность организации, вследствие чего на руководящий состав и само предприятие будут наложены административные санкции (в виде достаточно кружных штрафов, а то и чего покруче).
При необходимости составить приказ о защите персональных данных, который вы ранее никогда не делали, посмотрите приведенный здесь пример и ознакомьтесь с комментариями к нему. С их помощью вы наверняка без особых усилий сделаете нужное вам распоряжение.
- В начале документа все шаблонно: напишите тут наименование организации, название приказа, его номер, дату и место формирования. После этого переходите к сути.
- Первым делом обозначьте здесь основание, т.е. дайте ссылку на статью закона, в соответствии с которой пишете распоряжение, а также обоснуйте его, т.е. отметьте реальную причину его создания (например, необходимость внедрения правил и норм по защите персональных сведений).
- Далее внесите собственно указание на защиту личной информации работников компании, а также впишите нормативно-правовые бумаги, которые это регулируют, обозначьте требование об ознакомлении с ними персонала под роспись.
- Назначьте ответственное лицо.
- Отдельным пунктом включите информацию о сотруднике, который будет следить за выполнением данного распоряжения (это может быть сам директор предприятия, кто-либо из его заместителей или же начальник отдела кадров, в ведении которого обычно и находится весь объем персональных данных).
- В завершении не забудьте поставить в бланк все нужные подписи.
На предприятии должен быть назначен сотрудник, ответственный за подготовку пакета документов о защите конфиденциальной информации. Такое назначение делается на основании соответствующего приказа руководителя. Назначенный сотрудник должен подготовить определенный пакет документов, среди которых:
- положение об обработке и защите конфиденциальной информации. Образец приказа об утверждении положения о персональных данных 2019 детально описан в специальном материале;
- образец приказа о хранении персональных данных;
- политика предприятия в отношении таких сведений;
- перечень лиц, имеющих доступ к ним;
- согласие на обработку;
- соглашение о неразглашении;
- журнал учета передачи данных.
Перечисленные документы вводятся в действие соответствующим распоряжением руководителя организации.
Учтите, что недостаточно утвердить такой приказ. Всех работников надо ознакомить с ним под подпись (ст. 86 ТК РФ).
Формат документа
На сегодня формат приказа может быть произвольным: это обозначает, что его можно писать в свободном виде. Но если руководство предприятия разработало и утвердило свой стандарт документа, обязательный к применению, то руководствоваться, конечно, следует именно им. При этом форма приказа должна быть обозначена в нормативно-правовых бумагах компании.
Приказ нужно обязательно зарегистрировать и учесть. Для этого следует воспользоваться отдельным журналом учета, в котором фиксируются сведения обо всех выпущенных в организации распоряжениях. В журнал достаточно включить номер, дату и краткую суть приказа. После этого документ нужно вложить в папку с другими подобными бумагами.
Пакет названных документов поможет не только соблюсти закон, но и обезопасить организацию от претензий со стороны Роскомнадзора — проверяющего органа в этой сфере. Права и обязанности контролирующего органа и инспектируемой организации регулируются Приказом Минкомсвязи России № 312 от 14.11.2011. А с 23.02.
Контролеры обращают внимание и на наличие документации, и на выполнение предусмотренных в ней мер безопасности. За разглашение личной информации сотрудников работодателю и его должностным лицам (руководителю, бухгалтеру, секретарю, сотрудникам отдела кадров) может грозить ответственность:
- дисциплинарная — на основании пп. «в» п. 6 ч. 1 ст. 81 ТК РФ;
- административная — на основании ст. 13.11 КоАП РФ (штраф до 75 000 рублей);
- уголовная — с учетом положений ст. 137 УК РФ (штраф до 300 000 рублей либо лишение свободы на срок до 3-4 лет).
Работодатель должен помнить, что вся информация о работнике должна быть получена от него самого или из третьих источников, но только с его письменного согласия. Воспользоваться такой возможностью можно, если утрачены какие-либо документы.
Нередки случаи, когда сведения о сотруднике меняются, например, при смене фамилии или изменении семейного положения. Законодательство не устанавливает конкретный срок, в течение которого работник должен уведомить работодателя об изменениях. Поэтому рекомендуется закрепить сроки в локальном нормативном акте. Уведомить работодателя необходимо посредством соответствующего заявления, подкрепленного документами, удостоверяющими изменения.
Образец
За подготовкой Положения следует издание приказа о назначении ответственного лица по работе с персональными данными. Единой унифицированной формы это документа не установлено, поэтому приказ можно составить в произвольной форме. Главное – наличие в готовом документе всех реквизитов первичного документа.
Подробнее об этом см. «Первичный документ: указываем обязательные реквизиты».
Остановимся на важных моментах:
- название компании должно соответствовать наименованию в учредительных документах;
- если у компании есть сокращенное название, то оно указывается в скобках (п. 5.5 ГОСТ Р 7.0.97-2016);
- после строчки с датой документа указывается место составления приказа;
- заголовок «о назначении ответственного по работе с персональными данными» указывается слева, начиная от границы поля (п. 5.17 ГОСТ Р 7.0.97-2016);
- кроме фамилии ответственного сотрудника нужно указать его должность и сферу ответственности.
Руководствуясь данными правилами, можно составить приказ о назначении ответственного по работе с персональными данными. В ДОУ, коммерческой организации или на промышленном предприятии форма документа будет единой.
Ответственность за отсутствие документации
Санкциями статьи 13.11 КоАП РФ за такие нарушения предусмотрено предупреждение или наложение административного штрафа:
- на граждан — в размере от 300 до 500 рублей;
- на должностных лиц — от 500 до 1 000 рублей;
- на юридических лиц — от 5 000 до 10 000 рублей.
___________________________________________________________(полное наименование, адрес, ОГРН, ИНН оператора)
Образец
Закон о персональных данных требует, чтобы субъект бизнеса выбрал работника, который будет отвечать за работу с персональными данными. Это требование выполняется путем оформления приказа. Только это лицо должно иметь полный доступ к персональным данным, разграничивать доступ к ним и защищать от несанкционированного использования.
Внимание! Если данного приказа в компании нет, то это будет расценено, как прямое нарушение закона о персональных данных.
КОАП за данные нарушения предусматривает вынесение предупреждения, либо наложение денежного штрафа:
- на обычных граждан — 300-500 рублей;
- на должностных лиц — 500-1000 рублей;
- на организации — 5-10 тысяч руб.
Кто должен расписаться в приказе
Свои подписи в приказе о защите персональных данных работников должны поставить несколько человек. Самый первый автограф: директора организации, поскольку именно от его лица выпускаются все распоряжения такого уровня.
Следующая подпись: работника, на которого возлагается контроль за исполнением приказа и, наконец, в нем должны расписаться сотрудники, в нем упомянутые (если только их подписи не будут собраны в отдельном акте об ознакомлении).
Печать в документе ставить в обязательном порядке не требуется, но она нужна в том случае, если условие о ее использование для визирования внутренней распорядительной документации есть в учетной политике компании.